¿Qué tan segura es la Chrome Web Store de todos modos?

¿Qué tan segura es la Chrome Web Store de todos modos?

Alrededor del 33% de todos los usuarios de Chromium tienen algún tipo de complemento de navegador instalado. En lugar de ser una tecnología de nicho y de vanguardia utilizada exclusivamente por usuarios avanzados, los complementos son positivamente convencionales, y la mayoría proviene de Chrome Web Store y Firefox Add-Ons Marketplace.





Pero, ¿qué tan seguros son?



Según estudios debido a ser presentado en el Simposio IEEE sobre Seguridad y Privacidad, la respuesta es No muy . El estudio financiado por Google encontró que decenas de millones de usuarios de Chrome tienen instalada alguna variedad de malware basado en complementos, lo que representa el 5% del tráfico total de Google.





La investigación dio como resultado la eliminación de casi 200 complementos de Chrome App Store y cuestionó la seguridad general del mercado.

Entonces, ¿qué está haciendo Google para mantenernos a salvo y cómo puedes detectar un complemento malicioso? Lo descubrí.



De dónde vienen los complementos

Llámalos como quieras (extensiones de navegador, complementos o complementos), todos provienen del mismo lugar. Desarrolladores independientes de terceros que producen productos que, en su opinión, satisfacen una necesidad o resuelven un problema.

Los complementos del navegador generalmente se escriben utilizando tecnologías web, como HTML, CSS y JavaScript, y generalmente se crean para un navegador específico, aunque existen algunos servicios de terceros que facilitan la creación de complementos de navegador multiplataforma.



Una vez que un complemento ha alcanzado un nivel de finalización y se prueba, se libera. Es posible distribuir un complemento de forma independiente, aunque la gran mayoría de los desarrolladores optan por distribuirlos a través de las tiendas de extensiones de Mozilla, Google y Microsoft.

Aunque, antes de que toque la computadora de un usuario, debe probarse para garantizar que sea seguro de usar. Así es como funciona en la tienda de aplicaciones de Google Chrome.



Mantener Chrome seguro

Desde el envío de una extensión hasta su eventual publicación, hay una espera de 60 minutos. ¿Qué pasa aquí? Bueno, detrás de escena, Google se está asegurando de que el complemento no contenga ninguna lógica maliciosa o cualquier cosa que pueda comprometer la privacidad o seguridad de los usuarios.

Este proceso se conoce como 'Validación mejorada de elementos' (IEV) y es una serie de controles rigurosos que examinan el código de un complemento y su comportamiento cuando se instala, con el fin de identificar el malware.

Google también tiene publicó una 'guía de estilo' de algún tipo que les dice a los desarrolladores qué comportamientos están permitidos y desalienta expresamente a los demás. Por ejemplo, está prohibido usar JavaScript en línea (JavaScript que no se almacena en un archivo separado) para mitigar el riesgo de ataques de secuencias de comandos entre sitios.

Google también desaconseja encarecidamente el uso de 'eval', que es una construcción de programación que permite que el código ejecute código y puede introducir todo tipo de riesgos de seguridad. Tampoco están muy interesados ​​en los complementos que se conectan a servicios remotos que no son de Google, ya que esto representa el riesgo de un ataque Man-In-The-Middle (MITM).

Estos son pasos simples, pero en su mayor parte son efectivos para mantener seguros a los usuarios. Javvad Malik , Defensor de seguridad de Alienware, cree que es un paso en la dirección correcta, pero señala que el mayor desafío para mantener a los usuarios seguros es una cuestión de educación.

“Hacer la distinción entre software bueno y malo es cada vez más difícil. Parafraseando, el software legítimo de un hombre es un virus malicioso que roba la identidad y compromete la privacidad de otro hombre codificado en las entrañas del infierno. para empezar, nunca se han hecho públicos. Pero el desafío en el futuro para empresas como Google es controlar las extensiones y definir los límites de lo que es un comportamiento aceptable. Una conversación que va más allá de la seguridad o la tecnología y una pregunta para la sociedad que usa Internet en general '.

Google tiene como objetivo garantizar que los usuarios estén informados sobre los riesgos asociados con la instalación de complementos del navegador. Cada extensión en la tienda de aplicaciones de Google Chrome es explícita sobre los permisos requeridos y no puede exceder los permisos que le otorga. Si una extensión solicita hacer cosas que parecen inusuales, entonces tiene motivos para sospechar.

Pero de vez en cuando, como todos sabemos, el malware se filtra.

cómo mover Google Drive a otra unidad

Cuando Google se equivoca

Google, sorprendentemente, mantiene una nave bastante ajustada. No pasa mucho de su reloj, al menos cuando se trata de Google Chrome Web Store. Cuando algo lo hace, sin embargo, es malo.

  • AddToFeedly era un complemento de Chrome que permitía a los usuarios agregar un sitio web a sus suscripciones al lector RSS Feedly. Comenzó su vida como un producto legítimo publicado por un desarrollador aficionado , pero se compró por una suma de cuatro cifras en 2014. Los nuevos propietarios luego vincularon el complemento con el adware SuperFish, que inyectaba publicidad en las páginas y generaba ventanas emergentes. SuperFish ganó notoriedad a principios de este año cuando se supo que Lenovo lo había estado enviando con todas sus computadoras portátiles Windows de gama baja.
  • Captura de pantalla de la página web permite a los usuarios capturar una imagen de la totalidad de una página web que están visitando y se ha instalado en más de 1 millón de computadoras. Sin embargo, también ha estado transmitiendo información del usuario a una única dirección IP en los Estados Unidos. Los propietarios de WebPage Screenshot han negado cualquier irregularidad e insisten en que fue parte de sus prácticas de garantía de calidad. Desde entonces, Google lo ha eliminado de Chrome Web Store.
  • Add to Google Chrome era una extensión deshonesta que cuentas de Facebook secuestradas , y compartió estados, publicaciones y fotos no autorizados. El malware se propagó a través de un sitio que imitaba a YouTube y les dijo a los usuarios que instalaran el complemento para ver videos. Desde entonces, Google ha eliminado el complemento.

Dado que la mayoría de la gente usa Chrome para hacer la mayor parte de su computación, es preocupante que estos complementos hayan logrado pasar desapercibidos. Pero al menos hubo un procedimiento fallar. Cuando instala extensiones desde otro lugar, no está protegido.

Al igual que los usuarios de Android pueden instalar cualquier aplicación que deseen, Google le permite instalar cualquier extensión de Chrome que desee, incluidas las que no provienen de Chrome Web Store. Esto no es solo para dar a los consumidores un poco más de opciones, sino para permitir que los desarrolladores prueben el código en el que han estado trabajando antes de enviarlo para su aprobación.

Sin embargo, es importante recordar que cualquier extensión que se instale manualmente no ha pasado por los rigurosos procedimientos de prueba de Google y puede contener todo tipo de comportamiento no deseado.

¿Qué tan en riesgo está usted?

En 2014, Google superó a Internet Explorer de Microsoft como el navegador web dominante y ahora representa casi el 35% de los usuarios de Internet. Como resultado, para cualquiera que busque ganar dinero rápido o distribuir malware, sigue siendo un objetivo tentador.

Google, en su mayor parte, ha podido hacer frente. Ha habido incidentes, pero han sido aislados. Cuando el malware ha logrado infiltrarse, lo han tratado de manera oportuna y con la profesionalidad que esperaría de Google.

Sin embargo, está claro que las extensiones y los complementos son un vector de ataque potencial. Si planea hacer algo sensible, como iniciar sesión en su banca en línea, es posible que desee hacerlo en un navegador independiente sin complementos o en una ventana de incógnito. Y si tiene alguna de las extensiones enumeradas anteriormente, escriba chrome: // extensiones / en la barra de direcciones de Chrome, luego búsquelos y elimínelos, solo para estar seguro.

¿Alguna vez ha instalado accidentalmente algún malware de Chrome? ¿Vivir para contarlo? Quiero oír hablar de eso. Envíeme un comentario a continuación y charlaremos.

Créditos de imagen: Martillo sobre vidrio roto Vía Shutterstock

Cuota Cuota Pío Correo electrónico Dark Web vs. Deep Web: ¿Cuál es la diferencia?

La web oscura y la web profunda a menudo se confunden con lo mismo. Pero ese no es el caso, entonces, ¿cuál es la diferencia?

Leer siguiente Temas relacionados
  • Navegadores
  • Seguridad
  • Google Chrome
  • Seguridad en línea
Sobre el Autor Matthew Hughes(386 Artículos publicados)

Matthew Hughes es un desarrollador y escritor de software de Liverpool, Inglaterra. Rara vez se lo encuentra sin una taza de café negro fuerte en la mano y adora absolutamente su Macbook Pro y su cámara. Puede leer su blog en http://www.matthewhughes.co.uk y seguirlo en Twitter en @matthewhughes.

Más de Matthew Hughes

Suscríbete a nuestro boletín

¡Únase a nuestro boletín de noticias para obtener consejos técnicos, reseñas, libros electrónicos gratuitos y ofertas exclusivas!

Haga clic aquí para suscribirse